U saradnji sa kompanijom Novetta i drugim partnerima, kompanija Kaspersky Lab objavila je sa ponosom svoj doprinos operaciji Blockbuster. Cilj ove operacije bio je da budu prekinute aktivnosti grupe Lazarus, koja je odgovorna za uništavanje podataka brojnih kompanija širom sveta, kao i konvencionalne operacije sajber špijunaže. Veruje se da napadači stoje iza napada na kompaniju Sony Pictures Entertainment iz 2014. godine, kao i za operacije DarkSeoul iz 2013 godine koja je za žrtve imala medije i finansijske institucije.
Nakon razarajućeg napada na poznatu kompaniju koja se bavi filmskom produkcijom, Sony Pictures Entertainment (SPE), u 2014. godini, globalni tim za istraživanje i analizu kompanije Kaspersky Lab (GReAT) započeo je istragu o poznatim verzijama malver programa koji je nazvan Destover. To je podstaklo dalju istragu o grupi povezanih kampanja sajber špijunaže i sajber sabotaže koje su za žrtve, između ostalog, imale finansijske institucije, medijske kuće i kompanije koje se bave proizvodnjom.
Na osnovu zajedničkih karakteristika različitih porodica štetnih programa, stručnjaci kompanije Kaspersky Lab uspeli su da grupišu na desetine izolovanih napada i da zaključe da svi pripadaju istom činiocu, što su drugi učesnici operacije Blockbuster potvrdili sopstvenim analizama.
Grupa Lazarus bila je aktivna nekoliko godina pre incidenta koji je pretrpela kompanija SPE, a čini se da je i dalje aktivna. Istraživanja kompanije Kaspersky Lab i drugih kompanija uključenih u operaciju Blockbuster potvrđuju vezu između malvera koji je korišćen u raznim poduhvatima, kao što je operacija DarkSeoul usmerena protiv banaka i emitera u Seulu, operacija Troy usmerena protiv vojnih snaga Južne Koreje, kao i incident u vezi sa kompanijom Sony Pictures.
Tokom istrage, stručnjaci iz kompanije Kaspersky Lab razmenili su preliminarne zaključke sa timom iz kompanije AlienVault Labs. Najzad, stručnjaci dveju kompanija odlučili su da udruže snage i da sprovedu zajedničko istraživanje. Istovremeno, aktivnost grupe Lazarus istraživale su mnoge druge kompanije kao i stručnjaci za bezbednost. Jedna od ovih kompanija, Novetta, započela je inicijativu usmerenu na objavljivanje veoma obimnih i praktičnih podataka o aktivnosti grupe Lazarus. Zajedno sa kompanijom Novetta, timom AlienVault Labs i drugim partnerima, a u okviru operacije Blockbuster, kompanija Kaspersky Lab objaviće svoje zaključke u cilju informisanja javnosti o ovim pretnjama.
Plast sena pun igala
Analizom više slučajeva malver napada koji su otkriveni prilikom različitih IT bezbednosnih incidenata i formiranja posebnih pravila za otkrivanje, kompanija Kaspersky Lab, tim Alien Vault i drugi stručnjaci uključeni u operaciju Blockbuster uspeli su da otkriju nekolicinu napada koje je sprovela grupa Lazarus.
Veza višestrukih slučajeva sa jednom grupom otkrivena je tokom analize metoda koje je ova grupa koristila. Preciznije, uočeno je da su napadači koristili fragmente istog štetnog koda kako bi ga iskoristili u drugom malicioznom programu.
Pored toga, stručnjaci su uočili sličnosti u načinu rada napadača. Tokom analize korišćenih alata iz više različitih napada, stručnjaci su otkrili da su posebni fajlovi koji se koriste za instaliranje različitih varijanti malicioznih podataka, „dropper“ fajlovi, sve podatke zadržali u okviru ZIP arhive zaštićene lozinkom. Lozinka za arhive koje su korišćene u različitim poduhvatima bila je ista i hardkodovana unutar „dropper“ fajla. Zaštita lozinkom korišćena je kako automatizovani sistemi ne bi izvukli i analizirali podatke, a, zapravo, to je ono što je stručnjacima pomoglo da otkriju grupu.
Ono što je stručnjacima pružilo dodatne načine grupisanja povezanih napada bio je poseban metod koji su kriminalci koristili kako bi obrisali tragove svog prisustva u zaraženom sistemu i određene tehnike koje su koristili da izbegnu detekciju antivirus programa. Otkriveno je na desetine različitih ciljanih napada gde se nije znalo ko je za njih odgovoran, da bi vremenom svi bili povezani sa jednim jedinim akterom.
Geografska rasprostranjenost grupe Lazarus
Analiza datuma kreiranja malvera pokazala je da su oni najranije kreirani morali datirati čak iz 2009. godine, pet godina pre ozloglašenog napada na kompaniju Sony. Broj novih malvera dramatično je porastao od 2010. godine. Ovo grupu Lazarus čini stabilnom dugogodišnjom pretnjom. Na osnovu meta podataka dobijenih iz analizranih programa, čini se da je većina malicioznih programa koje je grupa Lazarus koristila sastavljena u toku radnog vremena u vremesnkim zonama GMT+8 – GMT+9.
„Kao što smo i pretpostavili, broj napada koji brišu podatke je u stabilnom porastu. Ova vrsta malvera pokazala se kao jako efektivna vrsta sajber oružja. Sposobnost da malicioznim programom izbrišu podatke sa hiljade računara samo jednim klikom predstavlja značajnu prednost za tim Computer Network Exploitation koji ima za zadatak širenje dezinformacija i remećenje poslovanja targetirane kompanije. Vrednost njene uloge u hibridnom ratu, gde se napadi koji rezultiraju brisanjem podataka spajaju sa kinetičkim napadima kako bi paralizovali infrastrukturu jedne države, ostaje intringantna misao koja je bliža realnosti nego što bismo želeli da mislimo. Zajedno sa našim partnerima sa ponosom kompromitujemo operacije beskrupulozne grupe koja je u stanju da koristi ove razorne tehnike u svoju korist”, rekao je Huan Gerero (Juan Guerrero), viši stručnjak za bezbednost u kompaniji Kaspersky Lab.
„Članovi ove grupe poseduju neophodne veštine i volju da sprovode operacije sajber špijunaže u cilju krađe podataka ili uzrokovanja štete. U kombinaciji sa širenjem dezinformacija i upotrebom tehnika obmane, napadači su uspeli da sprovedu više operacija tokom proteklih nekoliko godina”, rekao je Haime Blasko (Jaime Blasco), glavni istraživač tima AlienVault. „Operacija Blockbuster predstavlja primer toga kako deljenje informacija i saradnja među firmama iz iste branše mogu da postave lestvicu na viši nivo i da spreče ovu grupu da nastavi sa svojim operacijama.”
„Kroz operaciju Blockbuster, kompanije Novetta, Kaspersky Lab i naši partneri neprestanim zalaganjem uspeli su da uspostave metodologiju kojom uspešno prekidaju napadačke operacije brojnih hakerskih grupa širom sveta i nastavljaju da smanjuju nanošenje dalje štete”, rekao je Andre Ludvig (Andre Ludwig), viši tehnički direktor grupe za ispitivanje i sprečavanje pretnji u kompaniji Novetta. „Nivo detaljne tehničke analize sprovedene u okviru operacije Blockbuster je veoma redak, a još ređa je praksa deljenja naših zaključaka sa partnerima kako bismo svi mogli da imamo koristi od boljeg razumevanja pretnji”.